LastPass是否足够安全？

Question

他们说：

私有主密码:用户的主密码和用于加密和解密用户数据的密钥从未发送到LastPass的服务器，也从未被LastPass访问。本地加密:用户数据在设备级别被加密和解密.存储在金库中的数据是保密的，甚至对LastPass也是保密的。

这就提出了几个问题：

• 如果LastPass没有我的密码，它怎么知道我输入的密码是正确的？
• LastPass如何在新设备上解密我的密码？
• LastPass安全吗？
• 如果我忘记了我的主密码呢？

Answer 1

来自此支持线程的LastPass网站：

LastPass说他们从来没有收到我的主密码。当我登录时，我不把它发送到LastPass服务器吗？不，当您登录到LastPass时，在将密码哈希和解密密钥发送到服务器之前，将使用前面讨论的代码从主密码中生成两件事:密码哈希和解密密钥。这一切都是在本地完成的。

• 密码哈希将发送到我们的服务器以验证您。一旦确认，我们就会把你加密的地下室送回去。我们只发送您的散列，而不是您的主密码。
• 解密密钥，它永远不会离开你的计算机，然后被用来解密你的地下室，一旦它回来。

因此，要回答你的问题：

LastPass如何知道我的密码是正确的？

LastPass只能以加密的形式访问您的金库；他们无法在不知道密钥的情况下读取它。登录时，客户端只发送密码的哈希，而LastPass只是将其与他们所拥有的密码哈希进行比较。

LastPass如何在新设备上解密我的密码？

解密密钥是密码的一个函数。因此，相同的输入(密码)总是产生相同的输出(散列+解密密钥)。为了解密你的金库，你的新设备只需要知道这些。

它真的安全吗？

这个问题的答案取决于您对LastPass的信任程度。

如果它的工作方式与他们所说的完全一样，那么足够强大的密码应该是相对安全的。

如果在任何时候他们都能访问您的密码(无论是有意的还是偶然的)，您可能应该认为它已被破坏，不仅应该更改您的LastPass密码，还应该更改您在保险库中的每个帐户的密码。

如果我忘记了我的主密码呢？

如果你忘记了你的密码，你就无法进入你的金库。LastPass不能把它发送给你或者重置它.。

对于愿意交换部分LastPass安全性以换取“安全网”的用户，LastPass允许您生成和使用一次性密码，甚至可以使紧急存取从指定用户那里提供对您帐户的访问。

LastPass服务台-一次密码

有一次，如果您使用的是不受信任的公共计算机，并且需要访问您的LastPass数据，但是由于潜在的密钥记录器，LastPass不太愿意这样做，因此LastPass提供了一次密码(OTP)，作为安全访问您的帐户的一种选择。使用受信任的计算机时，转到https://lastpass.com/otp.php创建一个随机密码列表，该列表只能使用一次登录到LastPass。您必须登录到插件中才能管理OTP。在此页面中，您将获得添加一个新的一次性密码、清除所有OTP或打印OTP的选项。每次生成新OTP时，都会将其添加到列表中。这些密码可以打印或携带在便携式存储设备上。然后，您可以重新访问上面的页面，使用此密码登录，并且您可以确定，即使捕获了密码，在以后的尝试中，该密码也不会允许访问您的帐户，因为它在您使用它登录一次之后就过期了。您甚至可以将OTP与另一种形式的多因素身份验证(Yubikey、Google身份验证、Sesame或GRID)一起使用，以便在不使用受信任的计算机时更加安全。

LastPass求助台-紧急通道

紧急访问您是否担心您的家人、朋友、伴侣或配偶访问重要帐户时发生了什么事？你想要一个简单的方式给他们密码和登录，他们需要代表你管理帐户吗？为意外做好准备，确保你所爱的人不会被锁在重要的账户之外，比如支付账单或抵押贷款，并确保他们可以管理你的数字遗产。使用“紧急访问”功能，在发生紧急情况或危机时，您可以让受信任的家人和朋友访问您的LastPass帐户。您指定的紧急访问联系人(S)可以请求访问您的帐户并安全地接收密码和便条，而不知道您的主密码。一旦他们请求访问，您将决定需要多少时间才给予他们访问权，如果不必要地请求访问，您可以拒绝访问。紧急访问也可以作为一个替代帐户恢复功能，如果您担心永远忘记您的主密码，并希望确保您有一个备份的方式恢复您的金库。请注意:与您共享访问权限的人将需要他们自己的LastPass帐户。

Answer 2

可能值得检查一下公钥和私钥密码(不对称)。

我推测，他们可能会使用非对称密码。当您注册一个新设备时，在所述设备上创建一个键盘，将公钥发送到旧设备，用新设备的公钥加密原始私钥，将其发送到新设备的服务器，然后发送到新设备，并使用新的私钥在新设备上本地解密原始私钥，然后删除仅保留两个设备上原始私钥的新私钥。

然后，您可以使用一个主密码字解锁您的帐户密码的其余部分。所有的技术都隐藏在层下，所以用户只需要知道一个密码。

这意味着您的安全私钥通过他们的服务器，但被混淆。

那么你必须问他们使用什么加密？我怀疑他们会告诉你作为安全防范措施。你相信特定的加密吗？你在阻止谁解密，有人认为是商业计算机的力量，还是一个拥有巨大计算能力的政府。由于弱加密可以被普通用户击败等。

但这只是猜测。

我的意思是，在技术上这样的服务是安全的，只要他们使用足够强的加密，但公司是否坚持这一点是另一个问题。

安全方面的真正问题是:您的设备是安全的还是安全的。人是安全链中最薄弱的一环。

如果你忘记了你的密码，你就失去了一切。它的诱惑是把它写下来，但这也是人们是最薄弱的安全环节的原因之一。

我最近的密码解决方案是Yubico密钥。